首頁驅(qū)動問題正文

"微信支付"勒索病毒愈演愈烈 邊勒索邊竊取支付寶密碼

2021-04-18 07:31:52來源:原創(chuàng)    編輯:管理員

8825


12月1日爆發(fā)的"微信支付"勒索病毒正在快速傳播,感染的電腦數(shù)量越來越多。病毒團伙入侵并利用豆瓣的C&C服務器,除了鎖死受害者文件勒索贖金(支付通道已經(jīng)關閉),還大肆偷竊支付寶等密碼。首先,該病毒巧妙地利用"供應鏈污染"的方式進行傳播,目前已經(jīng)感染數(shù)萬臺電腦,而且感染范圍還在擴大;


一、概述

其次,該病毒還竊取用戶的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號。其次,該病毒還竊取用戶的各類賬戶密碼,包括淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號。

火絨團隊強烈建議被感染用戶,除了殺毒和解密被鎖死的文件外,盡快修改上述平臺密碼。


01.jpg

圖:日均感染量圖,最高13134臺(從病毒服務器獲取的數(shù)據(jù))


據(jù)火絨安全團隊分析,病毒作者首先攻擊軟件開發(fā)者的電腦,感染其用以編程的"易語言"中的一個模塊,導致開發(fā)者所有使用"易語言"編程的軟件均攜帶該勒索病毒。廣大用戶下載這些"帶毒"軟件后,就會感染該勒索病毒。整過傳播過程很簡單,但污染"易語言"后再感染軟件的方式卻比較罕見。截止到12月3日,已有超過兩萬用戶感染該病毒,并且被感染電腦數(shù)量還在增長。

02.jpg

圖:供應鏈污染流程

此外,火絨安全團隊發(fā)現(xiàn)病毒制作者利用豆瓣等平臺當作下發(fā)指令的C&C服務器,火絨安全團隊通過解密下發(fā)的指令后,獲取其中一個病毒后臺服務器,發(fā)現(xiàn)病毒作者已秘密收取數(shù)萬條淘寶、天貓等賬號信息。


二、樣本分析

近期,火絨追蹤到使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt在12月1日前后大范圍傳播,感染用戶數(shù)量在短時間內(nèi)迅速激增。通過火絨溯源分析發(fā)現(xiàn),該病毒之所以可以在短時間內(nèi)進行大范圍傳播,是因為該病毒傳播是利用供應鏈污染的方式進行傳播,病毒運行后會感染易語言核心靜態(tài)庫和精易模塊,導致在病毒感染后編譯出的所有易語言程序都會帶有病毒代碼。供應鏈污染流程圖,如下圖所示:

03.jpg

供應鏈污染流程圖

編譯環(huán)境被感染后插入的惡意代碼

在易語言精易模塊中被插入的易語言惡意代碼,如下圖所示:


04.jpg圖:精易模塊中的惡意代碼


在被感染的編譯環(huán)境中編譯出的易語言程序會被加入病毒下載代碼,首先會通過HTTP請求獲取到一組加密的下載配置,之后根據(jù)解密出的網(wǎng)址下載病毒文件到本地執(zhí)行。如上圖紅框所示,被下載執(zhí)行的是一組"白加黑"惡意程序,其中svchost為前期報告中所提到的白文件,svchost運行后會加載執(zhí)行l(wèi)ibcef.dll中所存放的惡意代碼。下載執(zhí)行病毒相關代碼,如下圖所示:


下載病毒文件相關代碼

病毒代碼中請求網(wǎng)址包含一個豆瓣鏈接和一個github鏈接,兩者內(nèi)容相同,僅以豆瓣鏈接為例。如下圖所示:


05.jpg


請求到的網(wǎng)頁內(nèi)容

上述數(shù)據(jù)經(jīng)過解密后,可以得到一組下載配置。如下圖所示:


06.jpg


被解密的下載配置

解密相關代碼,如下圖所示:


07.jpg


解密代碼

通過配置中的下載地址,我們可以下載到數(shù)據(jù)文件,數(shù)據(jù)文件分為兩個部分:一個JPG格式圖片文件和病毒Payload數(shù)據(jù)。數(shù)據(jù)文件,如下圖所示:


08.jpg


數(shù)據(jù)文件

libcef.dll

libcef.dll中的惡意代碼被執(zhí)行后,首先會請求一個豆瓣網(wǎng)址鏈接。與被感染的易語言編譯環(huán)境中的病毒插入的病毒代碼邏輯相同,惡意代碼可以通過豆瓣鏈接存放的數(shù)據(jù),該數(shù)據(jù)可以解密出一組下載配置。解密后的下載配置,如下圖所示:


09.jpg


下載配置

下載代碼,如下圖所示:


10.jpg


下載截取后的有效惡意代碼數(shù)據(jù)中,包含有用于感染易語言編譯環(huán)境的易語言核心靜態(tài)庫和精易模塊。除此之外,下載的Payload文件中還包含有一個Zip壓縮包,配合在病毒代碼中所包含的通用下載邏輯,此處的Zip壓縮包可能被替換為任意病毒程序。因為病毒作者使用供應鏈污染的傳播方式,導致相關病毒感染量呈指數(shù)級增長。相關代碼,如下圖所示:


11.jpg


定位Payload壓縮包位置回寫文件

通過篩查豆瓣鏈接中存放的加密下載配置數(shù)據(jù),我們發(fā)現(xiàn)在另外一個豆瓣鏈接(https://www.douban.com/note/69*26/)中存放有本次通過供應鏈傳播的勒索病毒Bcrypt。下載配置,如下圖所示:


12.jpg


下載配置

我們在病毒模塊JPG擴展名后,用"_"分割標注出了勒索病毒被釋放時的實際文件名。最終被下載的勒索病毒壓縮包目錄情況,如下圖所示:


13.jpg

圖:勒索病毒壓縮包目錄情況


三、病毒相關數(shù)據(jù)分析


火絨通過病毒作者存放在眾多網(wǎng)址中的加密數(shù)據(jù),解密出了病毒作者使用的兩臺MySQL服務器的登錄口令。我們成功登錄上了其中一臺服務器,通過訪問數(shù)據(jù)庫,我們發(fā)現(xiàn)通過該供應鏈傳播下載的病毒功能模塊:至少包含有勒索病毒、盜號木馬、色情播放軟件等。


我們還在服務器中發(fā)現(xiàn)被盜號木馬上傳的鍵盤記錄信息,其中包括:淘寶、天貓、阿里旺旺、支付寶、163郵箱、百度云盤、京東、QQ賬號等共計兩萬余條。


我們還在服務器中發(fā)現(xiàn)了Bcrypt病毒上傳的勒索感染數(shù)據(jù),通過僅對一臺服務器數(shù)據(jù)的分析,我們統(tǒng)計到的病毒感染量共計23081臺(數(shù)據(jù)截至到12月3日下午)。

日均感染量,如下圖所示:


14.jpg


日均感染量

感染總量統(tǒng)計圖,如下圖所示:


15.jpg


感染總量

現(xiàn)火絨已經(jīng)可以查殺此類被感染的易語言庫文件,請裝有易語言編譯環(huán)境的開發(fā)人員下載安裝火絨安全軟件后全盤掃描查殺。查殺截圖,如下圖所示:


16.jpg

圖:火絨查殺截圖


四、附錄

樣本SHA256:


17.jpg


驅(qū)動人生建議大家,盡快更新各個平臺的密碼,以防止惡意病毒危害您的財產(chǎn)安全!

文章來源:https://www.cnbeta.com/articles/tech/794495.htm


weixin3.png

上一篇:英偉達官宣,TITAN RTX來了!售價2499美元
下一篇:12306升級,將會推出搶票功能!

最新資訊